文章目錄
NISP-網絡安全防護與實踐
1.虛擬專用網
概述:
- 虛擬專用網就是利用公用網絡把遠程站點或用戶連接起來的專用網絡
- 一個連接通常由客戶機,傳輸介質和服務器三部分組成
- 虛擬專用網連接使用隧道(Tunnel)作爲傳輸通道,這個隧道時建立在公用網絡或專用網絡基礎上的
- 爲了保障信息安全,虛擬專用網技術採用鑑別,訪問控制,保密性,完整性等措施,以防止信息的泄露,篡改和複製(私有性,安全性)
(1).虛擬專用網的基本原理
- 虛擬專用網使用三方面技術保證通信的安全性:身份驗證,隧道協議,加密技術
(2).虛擬專用網的主要類型
- 遠程訪問虛擬網——適用於企業內部人員流動頻繁或遠程辦公的情況
- 企業內部虛擬網——適用於相同企業內部異地互聯
- 企業擴展虛擬網——適用於不同企業之間互聯
(3).虛擬專用網的功能特性
- 安全保障
- 服務質量保證
- 可擴充性和靈活性
- 可管理性
- 降低成本
2.IPSec協議
- IPSec是一種開放標準的框架結構,使用加密服務確保Internet通信安全而順暢
- IPSec定義瞭如何在對等層之間選擇安全協議,安全算法和密鑰交換,向上層提供訪問控制,數據源驗證(在網路層上),數據加密,數據完整性檢查和防止重放攻擊等安全服務
- IPSec工作模式:傳輸模式和隧道模式
- 傳輸模式:只對IP分組應用IPSec協議;對IP報頭不進行任何修改,只能應用於主機對主機的IPSec虛擬專用網
- 隧道模式:IPSec將原有的IP分組封裝成帶有新的IP報頭的IP分組,這樣原有的IP分組就被有效的隱藏起來,隋代模式主要應用於主機到網關的遠程接入
3.SSL安全套接層協議層
- SSL協議是使用TCP/IP連接提供一個可靠的端到端的安全服務,爲兩個通信個體之間提供保密性和完整性
- SSL是一種國際標準的加密及身份驗證的通信協議
- 在SSL中分別採用對稱加密,公鑰加密,公鑰加密中的數字簽名技術
- 公鑰密碼技術用於初始化SSL連接
- 對稱密碼技術用於SSL連接後的通信
- SSL的Web服務器持有私鑰或帶有公鑰的數字證書
- SSL證書用於保障在線服務器的安全,
例如 - 服務器身份驗證的防假冒保障
- 網絡內容信息加密的防偷窺保障
- 網絡信息發送內容修改提醒的防篡改保障
- 網絡信息發送完整性檢測的防刪減保障
4.無線局域網安全防護(wifi)
- 通過訪問控制(保證敏感數據只有授權用戶訪問)和數據加密(保證發送的數據只被所期望的用戶接收和理解),保證無線局域網的安全性。
- 無線局域網(wlan)
增強安全性的措施:
- 修改admin密碼
- 使用無線網路安全協議【Wep協議,802.11i標準,WPA標準(防止數據中途被篡改和認證功能),WPA2標準(基於AES的CCMP算法),WAPI標準(採用數字證書和橢圓曲線公開密鑰體制可以實現客戶端和AP的雙向認證)】
- 禁止DHCP服務器(保護IP地址)
- 禁止SSID廣播
- 禁止遠程管理
- MAC地址過濾(創建MAC訪問控制列表)
- 合理放置無線AP(控制信號範圍)